明查|拆解西北工業大學遭美國NSA網絡攻擊事件

事件背景

2022年6月22日,西北工業大學發佈《公開聲明》稱,該校遭受境外網絡攻擊,已於第一時間報警。次日,陝西省西安市公安局碑林分局發佈《警情通報》,證實該局於4月12日15時許接到西北工業大學信息化建設與管理處報案,發現該校電子郵件系統中出現一批以科研評審、答辯邀請和出國通知等為主題的釣魚郵件,內含木馬程序。同時,部分教職工的個人上網電腦中也發現遭受網絡攻擊的痕迹。

9月5日,西安市公安局碑林分局官方微博就此事再發《警情通報》稱:「經過百餘天艱苦攻關,案件偵查工作取得了重要進展。」同一日,中國國家計算機病毒應急處理中心發佈《西北工業大學遭美國NSA網絡攻擊事件調查報告(之一)》[後文簡稱《調查報告(之一)》],明確國家計算機病毒應急處理中心360公司聯合組成的技術團隊全程參與了此案的技術分析工作。技術團隊先後從西北工業大學的多個信息系統和上網終端中提取到了多款木馬樣本,綜合使用國內現有數據資源和分析手段,且在歐洲、南亞部分國家合作夥伴的支持下,全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自美國國家安全局(NSA)下屬「特定入侵行動辦公室」(Office of Tailored Access Operation,後文簡稱TAO)。

9月25日,國家計算機病毒應急處理中心發佈《西北工業大學遭美國NSA網絡攻擊事件調查報告(之二)》[後文簡稱《調查報告(之二)》],在《調查報告(之一)》基礎上,對TAO攻擊滲透西北工業大學的流程、TAO在攻擊過程中暴露身份的相關情況、TAO網絡攻擊西北工業大學武器平台IP和 TAO網絡攻擊西北工業大學所用跳板IP進行了揭露。

「澎湃明查」在參考上述兩份調查報告基礎上,綜合開源情報,對西北工業大學遭受網絡攻擊事件中的重要信息進行了梳理。

明查

與美國NSA的關聯

國家計算機病毒應急處理中心發佈第一篇溯源報告時,距西安市公安局碑林分局太白路派出所接到西北工業大學的報警已過去近5月。一篇發佈在網絡安全產業門戶網站Freebuf上的文章談及此事,對網絡攻擊溯源的成本和難度進行了討論,指出網絡攻擊溯源的效率主要取決於攻守雙方的能力和水平,即攻擊方的反溯源能力和被攻擊方的安全建設能力。如果入侵者狡猾,使用跳板機掩蓋其真實地址、不斷變化IP、刪除日誌,就會增加取證的難度,而這正是西北工業大學遭受網絡攻擊事件可能面臨的狀況。

《調查報告(之一)》提到,針對西北工業大學的網絡攻擊先後使用了54台跳板機和代理服務器,主要分佈在日本、韓國、瑞典波蘭、烏克蘭等17個國家,其中70%位於中國周邊國家,如日本和韓國。如此大規模、長路徑的跳板攻擊並非易事。這意味着攻擊者具備高超的技術,能夠控制多國計算機。但究竟誰有這種動機和能力,可以將多國主機作為跳板,向西北工業大學發起攻擊?

今年2月,北京奇安盤古實驗室科技有限公司在一份研究報告中指出,一種被命名為Bvp47的後門程序在十幾年間控制了超過45個國家的287個目標,受害者包括日本、韓國、巴基斯坦等多個中國周邊鄰國,且有受害主機被當作跳板,用以進一步開展網絡攻擊。

奇安盤古實驗室在報告中列出了其辨認出的受害者域名、詳細信息及IP地址,其中有多家機構,如日本京都大學、德國不來梅大學的名稱也出現在了《調查報告(之二)》的TAO網絡攻擊西北工業大學所用跳板IP列表中。「澎湃明查」向日本京都大學、德國不萊梅大學、韓國科學技術院等機構發送了問詢郵件 ,但截至發稿仍未收到回復。

Bvp47受害者與西北工業大學遭受攻擊時所用的跳板機主體有所重疊。

9月13日,奇安盤古實驗室發佈了後續報告,指出Bvp47中含有一種「飲茶」工具,在此次西北工業大學遇襲事件中同樣被使用。同一日,國家計算機病毒應急處理中心援引奇安盤古實驗室的研究成果發佈了一份對「飲茶」工具的分析報告,提到這種網絡武器是一種「嗅探竊密類武器」,主要針對Unix/Linux平台,可對目標主機上的遠程訪問賬號密碼進行竊取。而根據《調查報告(之二)》內容,「飲茶」長期被用於隱蔽嗅探竊取西北工業大學運維管理人員的遠程維護管理信息,包含網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息等。這意味着,Bvp47背後的操縱者與西北工業大學網絡的入侵者間可能存在某種聯繫。

奇安盤古實驗室的分析報告披露,有充足證據顯示操縱Bvp47的是美國黑客組織「方程式」。在美國外交關係協會的網站上,「方程式」被形容為是一家具有國家背景、疑似來自美國的高技術能力黑客團伙 。該組織的主要攻擊方式為防火牆漏洞攻擊或魚叉郵件,首要目標包括中國、伊朗、俄羅斯、敘利亞等國。

魚叉郵件是針對特定目標投遞特定主題及內容的欺詐電子郵件,比一般的釣魚郵件往往更具迷惑性,同時也可能具有更加隱秘的攻擊目的。一位標記為「西北工業大學計算機學院碩士在讀」的知乎用戶「域星河」提到,至少從今年1月起,該校信息化建設與管理處已經多次發郵件提醒師生:有黑客組織通過互聯網各類新聞統稿、科研論文等公開渠道收集師生姓名、職位信息,在Gmail、163等商業郵件系統中註冊以該校機構、職工姓名的郵箱,假借學校機構、同事、朋友、領導名義,以「我有事找你」「幫我辦件事」「年終財務津貼」為主題,給該校教職工發送通知郵件,但無具體郵件內容。

圖片來源:知乎用戶@域星河。

2016年,一個叫「影子經紀人」(The Shadow Brokers)的神秘黑客組織宣稱成功黑進了「方程式」,獲取了該組織使用的大量工具和數據,並在網上公開售賣。奇安盤古實驗室成員從「影子經紀人」公布的文件中,發現了一組疑似包含私鑰的文件,而這組文件恰好是唯一可以激活Bvp47頂級後門的非對稱加密私鑰,可以直接遠程激活並控制Bvp47頂級後門。這證明Bvp47與「方程式」組織間存在聯繫。

北京奇安盤古實驗室科技有限公司《Bvp47美國NSA方程式的頂級後門技術細節》報告截圖。

不僅如此,當「影子經紀人」公布其宣稱從「方程式」組織處獲取的資料後,有研究人員發現,這些資料中有一串16位標識符(ace02468bdf13579),與2013年德國《明鏡》雜誌(SPIEGEL)在「稜鏡門」事件後期曝光的美國國家安全局網絡攻擊平台操作手冊中使用的唯一標識符相互吻合。這說明「影子經紀人」公布的材料總體可信,也意味着,「影子經紀人」公布的材料和《明鏡》披露的美國國家安全局內部的文件很有可能出自同一處——「方程式」組織很有可能就是服務於美國國家安全局的黑客團伙,而Bvp47工具背後的操控者,也很有可能就是美國國家安全局。

「影子經紀人」泄露的壓縮文件中,包含標識代碼「ace02468bdf13579」。

除Bvp47中包含的「飲茶」工具外,在西北工業大學遭網絡攻擊事件中,研究人員還披露了攻擊者使用的漏洞攻擊突破類、持久化控制類、嗅探竊密類、隱蔽消痕類等其餘40種武器。《調查報告(之一)》稱這些都是美國NSA的「專用網絡攻擊武器裝備」。《調查報告(之二)》則對西北工業大學遭攻擊竊密中所用的41款不同的網絡攻擊武器工具進行了統計,發現有16款工具與「影子經紀人」曝光的「方程式」組織的武器完全一致;23款工具雖然與「影子經紀人」曝光的工具不完全相同,但其基因相似度高達97%,屬於同一類武器;另有2款工具無法與「影子經紀人」曝光工具進行對應,但與美國NSA內部其它網絡攻擊武器具有同源性,需要搭配美國NSA的其它網絡攻擊工具使用。

國家計算機病毒應急處理中心和360公司聯合組成的技術團隊發現,部分針對西北工業大學的網絡攻擊行為發生在「影子經紀人」曝光美國NSA的黑客工具之前,當時這些工具仍屬美國NSA的內部機密,大概率只能由美國NSA內部人員自己使用。此外,技術團隊還從攻擊時間、語言行為習慣、代碼特徵等方面,找到了暴露入侵者身份的證據,並最終綜合五方面內容,鎖定了西北工業大學遭受網絡攻擊的幕後黑手,系美國國家安全局。

「一個高度機密的部門」

國家計算機病毒應急處理中心發佈的報告指出,西北工業大學網絡攻擊事件是由美國國家安全局信息情報部(代號S)數據偵察局(代號S3)下屬的「特定入侵行動辦公室」(TAO)指揮實施的。

多年以來,美國政府常常以「正義者」自居,譴責他國攻擊美國及其盟友網絡的行為,卻對其國家安全部門在入侵、監控他國網絡,竊取機密信息等行動上扮演的角色諱莫如深。直到2009年,情報歷史學家馬修·艾德(Matthew Aid)的《秘密哨兵:國家安全局不為人知的歷史》一書出版,揭開了TAO的冰山一角。至2013年「稜鏡門」事件爆發,情報機構以外的人們才得以對NSA內部這個專門從事大規模網絡攻擊及竊密活動的戰術實施單位有了更多了解。

馬修·艾德在其著作中形容TAO是「一個高度機密的部門」。美國《外交政策》雜誌在2013年6月發表的一篇文章里也使用了這一說法,稱TAO的存在對於NSA的其他工作人員來說也是一個「謎」:其位於馬里蘭州米德堡的辦公室隱藏在NSA總部的大樓內,一個大型的辦公套間將其與其它部門隔開。通往該房間的鋼製大門門口有武警把守,只有那些被特別批准的人才能在輸入六位密碼和視網膜掃描後進入大門。

另一些媒體,如美國政治新聞網站Politico和德國的《明鏡》雜誌,則直截了當地喚TAO為「NSA的黑客部門」。《明鏡》指出,TAO自1997年誕生以來,目標一直很明確,即「晝夜不停地工作,尋找入侵全球通訊網絡的方法」。僅2010年一年間,它在全世界就執行了279次行動。根據前NSA官員透露給《外交政策》的信息,TAO的日常工作就是通過入侵外國計算機和通訊系統,收集有關外國目標的情報信息,以及在「必要」時發起攻擊,損害乃至摧毀外國的計算機和通訊系統。

這樣一個高度機密的黑客組織,平時是如何運作的呢?一份來自美國海軍的機密報告顯示,TAO內部至少有6個組成單元,分別是負責對行動目標和行動要求進行管理和開發的需求與定位處(R&T),執行入侵、收集數據、地理定位等線上行動的遠程操作中心(ROC),開發行動概念和進行軟件植入的數據網絡技術處(DNT),利用電話交換等技術發展網絡戰能力的電信網絡技術處(TNT), 通過供應鏈對擬送達目標產品進行後門安裝的接入行動處(AT&O),以及負責設計、開發和交付支持攻擊行動網絡運作的端到端基礎設施的任務基礎設施技術處(MIT)。

美國海軍內部文件(2012年)截圖。

不同的TAO單元並非各自為政。根據美國海軍的報告,TAO至少在2012年前已經開始對R&T、ROC、DNT和MIT的資源進行整合,打造以任務為導向的重點小組(MAC)。這些小組由操作人員、分析人員和開發人員組成,共同關注特定的目標。TAO內部至少有兩支任務小組,視中國和朝鮮為特定目標,代號分別為NSAW和NSAH。在針對西北工業大學的網絡攻擊中,《調查報告(之一)》提到,攻擊首先是由MIT鋪墊的,在構建偵察環境,並租用供給資源後,再由ROC組織執行。過程中,TAO的DNT和TNT等小組提供了技術支撐;而R&T則負責為整個行動制定戰略,並作情報評估。

《明鏡》雜誌在2013年「稜鏡門」事件後期獲得的另一份目錄文件揭示,NSA內部還有一個叫先進網絡技術處(ANT)的部門,與TAO合作密切。該部門主要負責研發能夠滲透網絡設備、監控流動電話和電腦的工具,以幫助TAO入侵在使用「常規手段」時無法進入的網絡,轉移甚至修改網絡上的數據。《明鏡》發現,ANT提供的惡意軟件和硬件在當時可用於思科戴爾、瞻博、惠普和中國華為等公司製造的電腦,但這些公司在當時或否認了其設備曾受過修改,或表示對相關信息「不知情」。

《明鏡》雜誌獲取的目錄文件截圖。

2016年1月,時任TAO指揮官羅伯特·喬伊斯(Robert Joyce)在美國舊金山召開的Usenix恩尼格碼安全會議上公布了TAO整合資源、發動進攻的常規思路。他表示,TAO在選定入侵目標後,會遵循六個步驟展開行動,即偵察、初步開採、持久攻擊、工具安裝、橫向移動和數據收集和滲出。其中「偵察」不僅是指在系統之外對入侵目標進行掃描,也包括藉助公開資料等找到重要人物及其電子郵件等信息。「開採」則是TAO內部常用的術語,TAO將其整套入侵流程稱作「計算機網絡開採(CNE)」。

喬伊斯的這種分享行為在NSA內部相對罕見。一部發行於2012年的紀錄片《美國國家安全局揭秘:美國網絡秘密》提到,由於害怕暴露身份,NSA的內部人員很少會在公開場合露面。儘管如此,那些受雇於TAO的人並非無跡可尋。在領英上圍繞關鍵詞「Tailored Access Operations」進行搜索,可以找到不少曾經或仍在為TAO服務的人員信息,例如在2010年2月至2011年6月擔任TAO分析員的Teresa Pannell,擁有9年NSA工作經驗、NSA黑客證書和NETA1100 TAO概述證書的信號專家John Lawrence,從麻省理工大學電子工程和計算機科學學院畢業、目前可能仍在TAO工作的系統軟件專家Michelle Dinozzo(可能為化名)等。此外,有的網絡安全威脅情報平台間或也會分享一些關於NSA黑客的溯源信息,多出於示警目的。

在領英上可以找到部分曾經或仍在為TAO服務的人員信息。

網絡安全威脅情報平台分享的與美國NSA黑客有關的溯源信息。

只不過,相較於黑客們的身份,情報社區更關注的還是這些黑客掌握的技術,及其使用技術的意圖。

2013年的「稜鏡門」事件讓世界意識到,美國國家安全局從微軟、雅虎、谷歌蘋果等9家知名跨國服務商的服務器直接收集信息,其許可的監聽對象不僅包括美國以外地區使用上述服務器的客戶,也包括美國國內與海外有聯繫的公民。《明鏡》在同年的報道中還指出,TAO內部的AT&O小組負責執行「網外行動」。該行動的實質即安排美國中央情報局的特工在海外的計算機或電信系統上秘密安裝竊聽裝置,以便TAO的黑客從米德堡遠程訪問這些系統。

這些醜聞固然使NSA陷入信任危機,但按照《紐約時報》在2017年11月發表的一篇報道中的說法,它給NSA帶來的威脅其實遠不如3年後的「影子經紀人」事件:從2016年8月至2017年中旬,「影子經紀人」先後以拍賣、訂閱和免費披露的方式公開了一系列被認為與TAO有密切聯繫的「方程式組織」的黑客工具。這些捆綁了實際代碼的工具不僅可直接作用於對包括美國及其盟友在內的多國網絡系統的攻擊,導致WANNACRY等蠕蟲式勒索病毒廣泛傳播,也將美國NSA的安保能力置於尷尬的境地。

多年來,美國聯邦調查局通過廣泛的調查,先後逮捕了哈羅德·托馬斯·馬丁三世(Harold T. Martin III)、Nghia H. Pho、賈雷·達爾克(Jareh Dalke)等多位將NSA的保密資料帶離工作場所的僱員,但始終難以將他們與「影子經紀人」聯繫起來。「影子經紀人」的真實身份至今成謎。

另一方面,「影子經紀人」披露的一系列網絡攻擊武器也給世界上更多調查機構提供了研究TAO入侵思路及方法的機會。例如,總部位於瑞士的信息安全公司Kudelski Security在2017年5月發表博客,稱其研究人員正通過測試「影子經紀人」發佈的武器建立威脅情報(IOC)文檔,以便識別被這些工具、漏洞和腳本針對的全球客戶群。

隨着研究的深入,威脅情報社區對TAO這個「幕後組織」也有了更多了解 。截至2022年6月22日,美國electrospaces.net網站已經累計整理了400餘個和TAO相關的編碼詞,其中超過三分之一是關於TAO使用的入侵工具的代稱,如STORMPIG(指代TAO在 TAONet上用於殭屍網絡攻擊的數據清理工具)和BANANAAID;還有一些是被認為由TAO發動的黑客入侵項目的代號,如MURPHYSLAW,或形容黑客的代詞,如CUTEBOY和ALOOFNESS;但也有一些專有名詞,例如ECLECTICPILOT和FINKCOAT,儘管已經在被認為與TAO有關的文件中發現,但具體指向仍然不明。

入侵的目標

NSA入侵西北工業大學網絡的目的是什麼?《調查報告(之一)》發佈時沒有給出答案。當時有分析人士認為,該校作為隸屬於工業和信息化部的知名高校,參與國家科技重大專項、武器裝備型號項目研究。境外間諜情報機關不遺餘力地進行網絡攻擊,是為了刺探、竊取我國相關領域的機密。

但參考中國《保密法》第四十八條規定:不得在未採取防護措施的情況下,在涉密信息系統與互聯網及其他公共信息網絡之間進行信息交換,以及《計算機信息系統國際聯網保密管理規定》第六條規定:涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其他公共信息網絡相連接,必須實行物理隔離,在操作規範的情況下,TAO通過遠程操控跳板機入侵西北工業大學運維網絡「telnet」管理服務器,從而獲得涉密數據的可能性較低。

9月22日,《環球時報》記者從有關部門獲悉,TAO在對西北工業大學發起網絡攻擊的過程中,非法攻擊滲透中國境內某電信運營商,構建了對核心數據網絡遠程訪問的「合法」通道,對中國的電信基礎設施進行了滲透控制。

隨後發佈的《調查報告(二)》印證了此消息,稱TAO在入侵過程中, 竊取了西北工業大學的核心網絡設備賬號口令及配置信息,網絡設備運維配置文件和日誌文件,並利用竊取到的網絡設備賬號口令,以「合法」身份進入中國基礎設施運營商服務網絡,控制相關服務質量監控系統,竊取用戶隱私數據。根據報告的表述,多年來,TAO先後攻擊控制了至少2家中國基礎設施業務的服務器,並非法多批次查詢、導出、竊取了多名身份敏感人員的用戶信息。

針對西北工業大學遭受美國網絡攻擊一事,9月5日,中國外交部發言人毛寧在例行記者會上回答有關提問時表示,美方行徑嚴重危害中國國家安全和公民個人信息安全。中方強烈譴責,要求美方作出解釋並立即停止不法行為。

但美國政府在面對此類指控時一向擺着一副「既不承認也不否認」的態度。彭博社和美國全國廣播公司財經頻道就調查報告的內容詢問NSA,未收到任何官方回應。「澎湃明查」嘗試就此事聯繫NSA,但截至發稿同樣未收到回復。